A社では、自然災害などの際の事業継続を目的として、業務システムのデータベースのバックアップを取得している。その状況について、“情報セキュリティ管理基準 (平成28年)”に従って実施した監査結果として判明した状況のうち、監査人が指摘事項として監査報告書に記載すべきものはどれか。
ア バックアップ取得手順書を作成し、取得担当者を定めていた。
イ バックアップを取得した電子記録媒体からデータベースを復旧する試験を、事前に定めたスケジュールに従って実施していた。
ウ バックアップを取得した電子記録媒体を、機密保持を含む契約を取り交わした外部の倉庫会社に委託保管していた。
エ バックアップを取得した電子記録媒体を、業務システムが稼働しているサーバの近くで保管していた。
エ
ア 適切な運用であり、指摘事項ではない。
イ 適切な運用であり、指摘事項ではない。
ウ 適切な運用であり、指摘事項ではない。
エ 正しい。業務システムが稼働しているサーバが自然災害などで被災した場合に、バックアップテープまで被災し、サーバが復旧できずに事業継続ができなくなる可能性があるため、不適切な運用であり、指摘事項として監査報告書に記載すべきものである。
バックアップはサーバがある事業所などから遠く離れた場所で保管すべきものである。
| 問59 | 目次 | 問61 |